Architettura di riferimento 2: riepilogo delle porte per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS)
Ultima modifica dell'argomento: 2012-11-02
La funzionalità di server perimetrale di Lync Server 2010 descritta in questa architettura di riferimento è molto simile a quella inizialmente introdotta in Office Communications Server 2007 R2, con le eccezioni seguenti:
La porta 8080 è utilizzata per instradare il traffico dall'interfaccia interna del proxy inverso all'indirizzo IP virtuale (VIP, Virtual IP Address) del pool. È facoltativa e può essere utilizzata dai dispositivi mobili che eseguono Lync per rilevare il servizio di individuazione automatica nei casi in cui la modifica del certificato della regola di pubblicazione su servizio Web esterno non è appropriata, ad esempio se è presente un numero elevato di domini SIP.
La porta 4443 è utilizzata per instradare il traffico dall'interfaccia interna del proxy inverso all'indirizzo IP virtuale (VIP, Virtual IP Address) del pool.
La porta 4443 è utilizzata per instradare il traffico dai Front End Server del pool all'interfaccia interna del server perimetrale.
Per l'intervallo di porte 50.000 - 59.999 sono disponibili diverse opzioni. Nella figura seguente, tuttavia, è illustrata la configurazione comune per l'interoperabilità con le versioni di Office Communications Server precedenti. Per i dettagli relativi alla configurazione di questo intervallo di porte, vedere Determinazione dei requisiti di porte e firewall A/V esterni.
Rete perimetrale aziendale per topologia perimetrale consolidata con scalabilità
.jpg "Diagramma della rete perimetrale consolidata con scalabilità implementata")
Per la lettura delle tabelle seguenti, (in) si riferisce al traffico diretto da una rete meno attendibile a una più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Ad esempio, il traffico da Internet all'interfaccia esterna del server perimetrale oppure dall'interfaccia interna del server perimetrale al pool hop successivo. (out) si riferisce al traffico diretto da una rete più attendibile a una meno attendibile, ad esempio dalla rete aziendale alla rete perimetrale, o dalla rete perimetrale a Internet. Ad esempio, il traffico da un pool aziendale all'interfaccia interna del server perimetrale o dall'interfaccia esterna del server perimetrale a Internet. Infine, (in/out) si riferisce al traffico in entrambe le direzioni.
Traffico in ingresso/uscita del server perimetrale
.jpg "Diagramma del traffico perimetrale in ingresso/in uscita")
È consigliabile aprire solo le porte necessarie al supporto della funzionalità per cui si desidera fornire accesso esterno.
Per il corretto funzionamento dell'accesso remoto per qualsiasi servizio perimetrale, è obbligatorio che sia consentito il flusso bidirezionale del traffico SIP, come illustrato nella figura Traffico perimetrale in ingresso/in uscita. In altre parole, il servizio Access Edge è coinvolto nella messaggistica istantanea, nella presenza, nelle conferenze Web e nell'audio/video (A/V).
Riepilogo firewall per topologia perimetrale consolidata singola/con scalabilità implementata con DNS: interfaccia esterna
| Protocollo/Porta | Utilizzato per |
|---|---|
HTTP 80 (out) |
Controllo di elenchi di revoche di certificati |
DNS 53 (out) |
Query DNS esterne |
SIP/TLS/443 (in) |
Traffico SIP client-server per l'accesso utente remoto |
SIP/MTLS/5061 (in/out) |
Federazione e connettività con un servizio di Exchange ospitato |
PSOM/TLS/443 (in) |
Accesso utente remoto a conferenze per utenti anonimi e federati. |
RTP/TCP/Intervallo 50.000 (in) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
RTP/TCP/Intervallo 50.000 (out) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità Necessario per la condivisione desktop e la federazione di Office Communications Server 2007 R2 Necessario per il trasferimento file e la condivisione applicazioni di Lync Server 2010 A/V con Windows Live Messenger Nota Se il protocollo UDP 3478 è bloccato a causa di requisiti del firewall perimetrale o limitazioni sul lato client, l'intervallo di 50.000 porte verrà utilizzato in UDP 3478 |
RTP/UDP/Intervallo 50.000 (in) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
RTP/UDP/Intervallo 50.000 (out) |
Scambio di dati multimediali (per informazioni dettagliate, vedere Determinazione dei requisiti di porte e firewall A/V esterni) Necessario per l'interoperabilità con Office Communications Server 2007 |
STUN/MSTURN/UDP/3478 (in/out) |
Accesso utente esterno alle sessioni A/V (UDP) |
STUN/MSTURN/TCP/443 (in) |
Accesso utente esterno alle sessioni A/V e ai supporti multimediali (TCP) |
Dettagli firewall per topologia perimetrale consolidata singola/con scalabilità implementata con DNS: interfaccia interna
| Protocollo/Porta | Utilizzato per |
|---|---|
SIP/MTLS/5061 (in/out) |
Traffico SIP |
PSOM/MTLS/8057 (out) |
Traffico relativo alle conferenze Web da pool a server perimetrale |
SIP/MTLS/5062 (out) |
Autenticazione degli utenti A/V (servizio di autenticazione A/V) |
STUN/MSTURN/UDP/3478 (out) |
Percorso preferito per trasferimenti multimediali tra utenti interni ed esterni (UDP) |
STUN/MSTURN/TCP/443 (out) |
Percorso alternativo per trasferimenti multimediali tra utenti interni ed esterni (TCP) |
HTTPS 4443 (out) |
Push degli aggiornamenti di archivio di gestione centrale ai server perimetrali |
Dettagli firewall per server proxy inverso: interfaccia esterna
| Protocollo/Porta | Utilizzato per |
|---|---|
HTTP 80 (in) |
(Facoltativo) Reindirizzamento a HTTPS se l'utente immette accidentalmente http://publishedSiteFQDN. Necessario anche se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
HTTPS 443 (in) |
Download della Rubrica, servizio query Web della Rubrica, aggiornamenti dei client, contenuto delle conferenze, aggiornamenti di dispositivi, espansione di gruppi, conferenze telefoniche con accesso esterno e conferenze. |
Dettagli firewall per server proxy inverso: interfaccia interna
| Protocollo/Porta | Utilizzato per |
|---|---|
HTTP 8080 (in) |
Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare la regola di pubblicazione su servizio Web esterno. Il traffico inviato alla porta 80 nell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 8080 dall'interfaccia interna del proxy inverso, in modo che il pool di servizi Web possa distinguerlo dal traffico della rete interna. |
HTTPS 4443 (in) |
Il traffico inviato alla porta 443 nell'interfaccia esterna del proxy inverso viene reindirizzato a un pool sulla porta 4443 dall'interfaccia interna del proxy inverso, in modo che il pool di servizi Web possa distinguerlo dal traffico della rete interna. |
Nota
Per la lettura delle tabelle precedenti, (in) si riferisce al traffico diretto da una rete meno attendibile a una più attendibile, ad esempio da Internet alla rete perimetrale o dalla rete perimetrale alla rete aziendale. Ad esempio, il traffico da Internet all'interfaccia esterna del proxy inverso oppure dall'interfaccia esterna del proxy inverso a un pool Standard Edition o al VIP di un servizio di bilanciamento del carico hardware associato a un pool Front End.
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): nodo 1 dell'interfaccia esterna
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Accesso |
10.45.16.10 |
Qualsiasi |
Qualsiasi |
80 |
TCP |
HTTP |
|
Accesso |
10.45.16.10 |
Qualsiasi |
Qualsiasi |
53 |
UDP |
DNS |
|
Accesso |
Qualsiasi |
Qualsiasi |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Traffico SIP client-server per l'accesso utente esterno |
Accesso |
Qualsiasi |
Qualsiasi |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP |
Accesso |
10.45.16.10 |
Qualsiasi |
Qualsiasi |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP |
Conferenze Web |
Qualsiasi |
Qualsiasi |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
TCP |
RTP |
Necessario solo per la condivisione desktop con partner che eseguono Office Communications Server 2007 R2. Necessario anche per la condivisione di applicazioni o il trasferimento di file con utenti federati di Lync Server 2010 e sessioni A/V con Windows Live Messenger. |
A/V |
10.45.16.30 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.30 |
50.000 – 59.999 |
TCP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.30 |
50.000 – 59.999 |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
10.45.16.30 |
3478 |
Qualsiasi |
3478 |
UDP |
STUN/MSTURN |
La porta 3478 in uscita viene utilizzata per determinare la versione del server perimetrale con cui Lync Server 2010 sta comunicando e per il traffico di dati multimediali tra server perimetrali. Necessario per la federazione con Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2, nonché se nell'azienda sono distribuiti più pool di server perimetrali. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): nodo 2 dell'interfaccia esterna
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Accesso |
10.45.16.11 |
Qualsiasi |
Qualsiasi |
80 |
TCP |
HTTP |
|
Accesso |
10.45.16.11 |
Qualsiasi |
Qualsiasi |
53 |
UDP |
DNS |
|
Accesso |
Qualsiasi |
Qualsiasi |
10.45.16.11 |
443 |
TCP |
SIP (TLS) |
Traffico SIP client-server per l'accesso utente esterno |
Accesso |
Qualsiasi |
Qualsiasi |
10.45.16.11 |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP |
Accesso |
10.45.16.11 |
Qualsiasi |
Qualsiasi |
5061 |
TCP |
SIP (MTLS) |
Per connettività di messaggistica istantanea pubblica e federata con SIP |
Conferenze Web |
Qualsiasi |
Qualsiasi |
10.45.16.21 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.31 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
TCP |
RTP |
Necessario solo per la condivisione desktop con partner che eseguono Office Communications Server 2007 R2. Necessario anche per la condivisione di applicazioni o il trasferimento di file con utenti federati di Lync Server 2010 e sessioni A/V con Windows Live Messenger. |
A/V |
10.45.16.31 |
50.000 – 59.999 |
Qualsiasi |
Qualsiasi |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.31 |
50.000 – 59.999 |
TCP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.31 |
50.000 – 59.999 |
UDP |
RTP |
Necessario solo per la federazione con partner che eseguono Office Communications Server 2007. |
A/V |
10.45.16.31 |
3478 |
Qualsiasi |
3478 |
UDP |
STUN/MSTURN |
La porta 3478 in uscita viene utilizzata per determinare la versione del server perimetrale con cui Lync Server 2010 sta comunicando e per il traffico di dati multimediali tra server perimetrali. Necessario per la federazione con Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2, nonché se nell'azienda sono distribuiti più pool di server perimetrali. |
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
10.45.16.31 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte esterne necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): proxy inverso
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Proxy inverso: N/A |
Qualsiasi |
Qualsiasi |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Facoltativo) Può essere utilizzato per reindirizzare il traffico http su https. Necessario anche se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
Proxy inverso: N/A |
Qualsiasi |
Qualsiasi |
10.45.16.40 |
443 |
TCP |
HTTPS |
Impostazioni delle porte del firewall interno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): nodo 1 interfaccia interna
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Accesso |
172.25.33.10 |
Qualsiasi |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destinazione corrisponde ai server hop successivi. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Accesso |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
L'origine corrisponde ai server hop successivi. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Accesso |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Utilizzato per la replica di archivio di gestione centrale, includere tutti i Front End Server. |
Conferenze Web |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Qualsiasi Survivable Branch Appliance o Survivable Branch Server |
Qualsiasi |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Includere tutti i Front End Server che utilizzano questo particolare servizio di autenticazione A/V. |
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte del firewall interno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): nodo 2 interfaccia interna
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Accesso |
172.25.33.11 |
Qualsiasi |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
La destinazione corrisponde ai server hop successivi. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Accesso |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.11 |
5061 |
TCP |
SIP (MTLS) |
L'origine corrisponde ai server hop successivi. Nel caso dell'architettura di riferimento, si tratta dell'indirizzo IP dei due Front End Server del pool. |
Accesso |
192.168.10.90 192.168.10.91 |
Qualsiasi |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Utilizzato per la replica di archivio di gestione centrale, includere tutti i Front End Server. |
Conferenze Web |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Qualsiasi Survivable Branch Appliance o Survivable Branch Server |
Qualsiasi |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Includere tutti i Front End Server che utilizzano questo particolare servizio di autenticazione A/V. |
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Qualsiasi |
Qualsiasi |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Impostazioni delle porte del firewall esterno necessarie per la topologia perimetrale consolidata con scalabilità implementata (bilanciamento del carico DNS): proxy inverso
| Ruolo topologia perimetrale | Indirizzo IP di origine | Porta di origine | Indirizzo IP di destinazione | Porta di destinazione | Trasporto | Applicazione | Note |
|---|---|---|---|---|---|---|---|
Proxy inverso: N/A |
172.25.33.40 |
Qualsiasi |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Facoltativo) Necessario se si utilizza il servizio di individuazione automatica per i dispositivi mobili che eseguono Lync nei casi in cui l'organizzazione non desidera modificare il certificato della regola di pubblicazione su servizio Web esterno. |
Proxy inverso: N/A |
172.25.33.40 |
Qualsiasi |
192.168.10.190 |
4443 |
TCP |
HTTPS |